‘สิทธิเด็ก’ กฎหมายที่มุ่งเน้นปกป้องคุ้มครองสิทธิ การละเมิดความเป็นส่วนตัว หรือการดูหมิ่นที่อาจก่อให้เกิดความเสียหายทั้งทางร่างกายและจิตใจ ด้วยเหตุนี้กฎหมายเด็กของหลายๆ ประเทศ จึงมีความเข้มงวดและมีโทษที่ค่อนข้างรุนแรง ตลอดจนถึงการเป็นข้อบังคับสากล อาทิ อนุสัญญาสหประชาชาติว่าด้วยสิทธิเด็ก (UN Convention on the Rights of the Child: UNCRC) ที่ทั่วโลกยึดถือเป็นบรรทัดฐานของกฎหมาย
สำหรับประเทศไทยเองก็มี พ.ร.บ.คุ้มครองเด็ก พ.ศ.2546 กฎหมายคุ้มครอง ‘เด็ก’ ซึ่งหมายถึงบุคคลที่มีอายุต่ำกว่าสิบแปดปีบริบุูรณ์ แต่ไม่รวมถึงผู้ที่บรรลุนิภาวะด้วยการสมรส โดยกฎหมายมุ่งปกป้องคุ้มครอง เกื้อหนุน และการสงเคราะห์สวัสดิภาพเด็ก หรือการงดเว้นไม่ให้เด็กทำธุรกรรมทางกฎหมาย
ขณะที่ กฎหมาย PDPA (Personal Data Protection Act) หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตามข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลบังคับใช้ในในวันที่ 1 มิถุนายน 2565 นี้ ก็มีมาตราที่ระบุถึงข้อบังคับในการเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะโดยเฉพาะ ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากไม่ได้รับความยินยอมจาก ‘ผู้ปกครองที่มีอำนาจ’ กระทำการแทนผู้เยาว์ตามกฎหมาย
เหตุนี้จึงมีข้อสังเกตว่า สำหรับโรงเรียน สถานรับเลี้ยง สถานพยาบาลสำหรับเด็ก สถานกวดวิชา แคมป์เยาวชน หน่วยงานหรือสถานประกอบการที่มีการเก็บข้อมูลส่วนบุคคลของเด็ก แม้แต่แพลตฟอร์มสำหรับเด็ก หรือร้านเกม ที่มีการเก็บข้อมูลส่วนบุคคลผู้เยาว์เพื่อประโยชน์ทางธุรกิจ ไม่ว่าจะเป็น
- ข้อมูลส่วนบุคคลทั่วไป (Personal Data) อาทิ ชื่อ สกุล ที่อยู่ เลขบัตรประชาชน อีเมล เบอร์โทรศัพท์
- ข้อมูลกายภาพ เช่น ภาพถ่าย คลิปวิดีโอ รวมถึง ข้อมูลชีวภาพ เช่น ข้อมูลภาพจำลองใบหน้า ม่านตา ลายนิ้วมือ ข้อมูลพันธุกรรม ข้อมูลสุขภาพ หรือแม้แต่ข้อมูลด้านเชื้อชาติ ศาสนา อุปลักษณะนิสัย ทัศนคติ ซึ่งเหล่านี้เป็นข้อมูลอ่อนไหว (Sensitive Data)
ธุรกิจที่มีการจัดเก็บข้อมูลเด็กและผู้เยาว์ที่ไม่บรรลุนิติภาวะจะต้องมีความเข้าใจ และการจัดการเพื่อเตรียมพร้อมรับมือกับความเสี่ยงที่อาจจะเกิดขึ้นภายใต้กฎหมายใหม่ที่กำลังประกาศใช้ในเร็วๆ นี้
ธุรกิจเกี่ยวกับ ‘เด็ก’ กลุ่มไหนบ้างเสี่ยงทำผิดกฎหมาย PDPA
1. ธุรกิจด้านการศึกษา – โรงเรียนตั้งแต่ชั้นอนุบาล – มัธยมศึกษา ซึ่งมีส่วนเกี่ยวข้องทั้งที่เป็นผู้ควบคุมข้อมูล(Data Controller) ที่มีการรวบรวม ใช้และเผยแพร่ของมูลส่วนบุคคลของเด็กที่ยังไม่บรรลุนิติภาวะ รวมทั้งการส่งต่อข้อมูลให้แก่บุคคลที่สาม เพื่อประโยชน์หรือกิจกรรมต่างๆ เช่น โรงเรียนเก็บข้อมูลเด็กและมีการใช้และเผยแพร่ต่อให้กับครูผู้สอน/บุคคลภายนอก หรือในมุมของสถาบันกวดวิชาที่มีการเก็บข้อมูลเด็กและส่งต่อให้ติวเตอร์ก็เข้าข่ายทำผิดกฎหมาย PDPA เช่นกันหากไม่มีการขอความยินยอมจากผู้ปกครอง
2.ธุรกิจด้านการรับเลี้ยง ฝากเลี้ยงเด็ก – เป็นอีกหนึ่งธุรกิจที่จะได้รับผลต่อการบังคับใช้กฎหมาย PDPA โดยตรงหากมีการเก็บข้อมูลส่วนบุคคลเด็กหรือผู้เยาว์ที่ไม่ได้รับความยินยอมจากผู้ปกครอง โดยเฉพาะสำหรับเด็กที่อายุไม่เกิน 10 ปี การรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากผู้ปกครองที่มีอำนาจตามกฎหมาย
3.สถานรักษาและดูแลสุขภาพเด็ก – ไม่ว่าจะเป็นโรงพยาบาล คลินิก ที่มีการเก็บข้อมูลเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ ก็เข้าข่ายทำผิดกฎหมาย PDPA หากว่าการเก็บข้อมูลเหล่านั้นเป็นไปเพื่อประโยชน์ในด้านธุรกิจก็เข้าข่ายที่ต้องขอความยินยอมจากผู้ปกครองทุกครั้ง
4.ธุรกิจบริการหรือความบันเทิงสำหรับเด็ก : สวนสนุก สวนน้ำ สวนสัตว์ แคมป์เยาวชน ร้านอาหาร ร้านเกม สถานประกอบการที่มีการเก็บข้อมูลส่วนบุคคลของเด็กเพื่อใช้ประโยชน์ในเชิงพาณิชย์ก็ต้องขอความยินยอมจากผู้ปกครองเช่นกัน
5.แพลตฟอร์มผู้ให้บริการที่มีกลุ่มเป้าหมายเป็นเด็ก : ในที่นี้อาจนึกภาพถึงเว็บไซต์ หรือแอปพลิเคชันสำหรับเด็ก ตลอดจนถึง ‘ร้านเกม’ หรือแม้แต่สื่อสำหรับเด็กในรูปแบบต่างๆ ที่แม้จะมีการทำเอกสารขอความยินยอมจากผู้ใช้ที่เรียกว่า ‘Term of Service’ ให้ผู้ใช้กดยินยอมรับเงื่อนไขของแพลตฟอร์ม แต่หากผู้ใช้เป็นเด็กที่อายุไม่เกิน 10 ปี หรือยังไม่บรรลุนิติภาวะ การยินยอมดังกล่าวตามข้อกำหนดในกฎหมาย PDPA อาจจะไม่ชอบด้วยกฎหมายและใช้เป็นหลักฐานการยินยอมไม่ได้ เพราะอำนาจการยินยอมเป็นของ ‘ผู้ปกครอง’ ดังนั้นแง่มุมเหล่านี้จึงมีความอ่อนไหวที่ผู้ประกอบการธุรกิจและแพลตฟอร์มสำหรับเด็กจะต้องศึกษาโดยละเอียด และมีระบบในการขอความยินยอมที่สามารถยืนยันตัวตนได้ว่าผู้ให้ความยินยอมมีบทบาทเป็นผู้ปกครองของผู้เยาว์
เก็บข้อมูลเด็กต้องรู้! แบบไหนบ้าง ที่ไม่ผิดกฎหมาย PDPA
กฎหมาย PDPA ห้ามไม่ให้เก็บข้อมูลส่วนบุคคลเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะโดยปราศจากความยินยอมจากผู้ปกครอง แต่ก็มีข้อยกเว้นที่สามารถทำได้เพื่อวัตถุประสงค์บางอย่าง คือ
1.เพื่อจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติที่เป็นประโยชน์ต่อส่วนรวม
2.เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3.เพื่อความจำเป็นและเป็นการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือ ดำเนินการที่เป็นไปตามคำขอของเจ้าของข้อมูลส่วนบุคคล
4.เป็นการปฏิบัติหน้าที่ หรือภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
5. เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของบุคคล
6. เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
อย่างไรก็ตาม หากในกรณีที่ผู้ควบคุมข้อมูล มีการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง จะต้องมีการแจ้งให้ ‘ผู้ปกครอง’ ของผู้เยาว์ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลทราบโดยเร็ว
กระนั้น ทั้งผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล หากมีการรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคล อันก่อให้เกิดความเสียหาย หรือการละเมิดก็ไม่สามารถหลีกเลี่ยงโทษทั้งทางอาญา แพ่งและโทษทางปกครองอยู่ได้ดี
ด้วยเหตุนี้ จึงจะเห็นได้ว่า สิทธิเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะด้านข้อมูลส่วนบุคคล ต้องขอความยินยอมจากผู้ปกครอง แต่หากความยินยอมนั้นทำให้เกิดความเสียหายทั้งร่างกายและจิตใจ ก็ยังสามารถขอให้ถอนการยินยอมได้ในทันที และหากไม่ปฏิบัติตามก็จะนำไปสู่การฟ้องร้องดำเนินคดีตามกฎหมาย ซึ่งสิ่งเหล่านี้ กฎหมายยังมีความอ่อนไหว และยังสามารถตีความไปได้อีกหลายๆ แง่มุม
ดังนั้น ธุรกิจที่เกี่ยวข้อง หรือมีการเก็บข้อมูลส่วนบุคคลเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะจึงต้องมีการทำความเข้าใจสาระของข้อกฎหมาย PDPA รวมถึงการประเมินผลกระทบการละเมิดข้อมูลส่วนบุคคล (DPIA) เพื่อรับมือความเสี่ยงที่ธุรกิจทำผิดกฎหมายซึ่งอาจนำไปสู่ความยุ่งยากอีกมากที่จะเกิดขึ้นในอนาคต
